Comment réguler l'intelligence artificielle (IA) ? La rapidité avec laquelle les entreprises annoncent depuis quelques mois vouloir se saisir de robots conversationnels tels que ChatGPT pose la question. Le débat était déjà monté d'un cran ces dernières semaines, notamment avec la prolifération de fausses images, comme celle du Pape en doudoune blanche, créées par des logiciels d'IA générative type Dall-E ou Midjourney. Comme souvent en matière d'innovations, les entreprises s'emparent des technologies et la réglementation suit.
Mais les pouvoirs transformants des dernières avancées de l'IA posent des problèmes à une toute autre échelle. Au point que ce mercredi, des experts et personnalités de cette industrie emmenés par Elon Musk appellent, dans une lettre ouverte, à geler pendant six mois les développements de l'IA, le temps de régler ses problèmes éthiques et sociétaux.
Vide juridique
Aujourd'hui, l'IA prospère dans un certain vide juridique. Certes, « il y a des poches de régulation », explique Winston Maxwell, directeur d'études Droit et Numérique à Télécom Paris. Par exemple, les logiciels d'IA qui moulinent des données personnelles doivent respecter le RGPD européen. Dans la santé, l'automobile ou encore la banque, son utilisation commence aussi à être encadrée. Mais pour autant, « toute régulation chapeau est très compliquée », reprend l'expert.
Car contrairement à d'autres technologies, comme la 5G ou le cloud, il n'y a pas une IA mais des IA. Et les usages sont multiples : la reconnaissance faciale pour déverrouiller son smartphone ne pose pas les mêmes enjeux que la construction d'algorithmes « biaisés »… « Certains usages n'ont pas besoin d'être régulés », estime Virginie Mathivet, docteure en intelligence artificielle.
Par ailleurs, la recherche dans le domaine progresse très rapidement. En quatre mois, OpenAI a fait des pas de géant avec son célèbre robot conversationnel ChatGPT. Le risque, comme souvent dans le numérique, est donc de mettre au point une régulation vite dépassée.
Une régulation européenne par « risques »
Malgré ces difficultés, les régulateurs commencent à se saisir du dossier. « Depuis un an, ça bouillonne », confirme Virginie Mathivet. A ce stade, l'Europe, avec le futur règlement AI Act présenté en avril 2021, est le seul continent à avoir bien avancé. Il s'agit d'une approche au cas par cas, centrée sur les risques les plus problématiques de l'IA. Le règlement devrait être discuté dans les tout prochains mois pour une application en 2025.
Précisément, le projet de règlement prévoit d'encadrer les systèmes d'IA en fonction des risques. Le texte distingue plusieurs catégories : les risques inacceptables - menace pour la sécurité, les droits des personnes, etc., pour lesquels les outils d'IA sont interdits -, les risques élevés, les risques limités et les risques minimes (applications de l'IA dans des jeux vidéo…).
L'IA générative comme ChatGPT devrait entrer dans la catégorie des hauts risques, selon les amendements déposés à ce stade. Si cela est confirmé, « cela induirait un nombre important d'obligations et de contraintes à la charge de l'ensemble des acteurs de la chaîne et notamment du fournisseur d'IA générative [comme OpenAI, NDLR] », explique Jeanne Dauzier, avocate chez DLA Piper. Ce dernier devra s'assurer que son système présente toutes les garanties nécessaires en termes notamment de transparence, de sécurité, de fiabilité, et obtenir une validation par la Commission européenne.
Concrètement, « la Commission européenne ne va pas déclarer conforme un outil s'il y a des biais », explique la spécialiste. « On pourrait imaginer qu'ils doivent utiliser des systèmes de modération automatique évitant les informations problématiques », ajoutent Matthieu Lucchesi et Julien Guinot-Deléry, chez Gide.
Parallèlement, les entreprises intégrant des logiciels d'IA (un cabinet d'avocats, un média, etc.) devront arrêter de les utiliser en cas de suspicion. « Ce qui va les contraindre à mettre en place des procédures précises », reprennent les deux experts. Le projet de règlement est accompagné de deux directives qui, elles, sont axées sur les responsabilités applicables, en cas de dommages notamment.
Aux Etats-Unis, pas de consensus au niveau fédéral
Aux Etats-Unis, en revanche, la régulation de l'IA est encore balbutiante. La Maison-Blanche a publié un « AI Bill of Rights » mais qui n'est pas contraignant pour l'instant. Au niveau fédéral, précisent des experts, il est peu probable que le Congrès se mette d'accord sur un texte global sur l'IA, sur le modèle du texte de loi européen. Ce qui n'a pas empêché des élus de déposer des propositions de loi visant à en réguler certains aspects, dont la reconnaissance faciale.
En attendant, plusieurs Etats ont voté des lois limitant l'utilisation de cette technologie dans des cas précis : par exemple, l'Etat du Colorado restreint l'usage de la reconnaissance faciale par les services de l'Etat. Dans l'Illinois, les entreprises qui utilisent l'IA pour recruter doivent partager des données sur l'ethnicité des personnes qui ont été embauchées et celles qui ont été rejetées.
En Californie, une tentative de législation vise, de même, à rendre légalement responsables les entreprises qui utilisent l'intelligence artificielle pour trier les candidats à un poste. L'Etat, où sont implantées de nombreuses entreprises travaillant à des outils de pointe utilisant l'IA, veut aussi mieux contrôler l'usage de cette technologie par le secteur public.
Par Raphaël Balenieri, Hortense Goulard, Marina Alcaraz - Les Echos, Publié le 29 mars 2023 à 19:02Mis à jour le 29 mars 2023 à 20:32